Operación SpoofedScholars: ciberespionaje iraní usa phishing de credenciales para acceder a datos sensibles de política exterior, movimientos disidentes o negociaciones nucleares

El grupo de cibercriminales TA453, vinculado al Gobierno iraní y a los intereses de la Guardia Republicana Islámica de Irán (IRGC), ha estado haciéndose pasar por expertos británicos de la Escuela de Estudios Orientales y Africanos (SOAS) de la Universidad de Londres desde enero para hacerse con información confidencial. Así se desprende de una nueva investigación realizada por la empresa líder en ciberseguridad y cumplimiento normativo Proofpoint donde se detalla la infraestructura de phishing montada por este actor de amenazas persistentes avanzadas (APT) con la que ha comprometido una web legítima de dicha institución académica para recolectar credenciales mediante enlaces de registro maliciosos. En ellos se podía iniciar sesión con proveedores de correo electrónico como Google, Yahoo, Microsoft, iCloud, Outlook, AOL, mail.ru, Email o Facebook.

Esta operación, denominada SpoofedScholars, es una de las campañas más sofisticadas de TA453 que haya identificado Proofpoint hasta la fecha. Los intentos de conexión que establecía este grupo estaban dirigidas a profesores de alto nivel de instituciones de renombre, así como a expertos y periodistas especializados en asuntos de Oriente Medio que podrían tener conocimientos sobre política exterior, movimientos disidentes iraníes o de negociaciones nucleares de Estados Unidos. Los ciberdelincuentes solían entablar conversaciones largas y muy detalladas con sus objetivos antes de pasar a la siguiente etapa de la cadena de ataque. No obstante, con una de sus víctimas, TA453 escribió directamente a una cuenta de correo personal con la URL fraudulenta sin que se hubiese establecido un contacto previo entre ambos.

Como señuelo, TA453 intentaba atraer a sus objetivos con una invitación a una supuesta conferencia online sobre los retos de seguridad entre Estados Unidos y Oriente Medio. Según Proofpoint, en estos mensajes, los ciberdelincuentes demostraban un nivel de inglés aceptable y su disposición de contactar con la víctima en tiempo real por teléfono, posiblemente para distribuir malware o realizar ataques de phishing adicionales, o bien por videoconferencia compartiendo solo audio.

A la izquierda, el mensaje fraudulento sobre la conferencia de TA453 y, a la derecha, la web de SOAS. Imagen: Proofpoint.

TA453 ha aumentado la sofisticación en sus ataques con el uso de una infraestructura legítima, pero comprometida; y es algo que se reflejará con toda seguridad en futuras campañas, afirman los investigadores de Proofpoint. Este grupo de ciberdelincuentes seguirá innovando y suplantando a académicos de todo del mundo para hacerse con datos de interés para el Gobierno iraní y la IRGC, por lo que cualquier víctima potencial deberá ser precavida y verificar la identidad de las personas que les contactan para ofrecerles algo o hacerles llegar alguna solicitud. El uso de la autenticación multifactor añadiría una capa adicional de protección frente a ataques de phishing de credenciales como los de TA453. Desde Proofpoint han colaborado con las autoridades competentes para notificar a las víctimas de esta amenaza.

La entrada Operación SpoofedScholars: ciberespionaje iraní usa phishing de credenciales para acceder a datos sensibles de política exterior, movimientos disidentes o negociaciones nucleares aparece primero en Globb Security.